Definir e implementar objetivos de seguridad de la información es un requisito contenido en la cláusula 6.2 de la norma ISO 27001, titulada “Objetivos y planificación de la seguridad de la información”.

Esto significa que la organización debe establecer objetivos de seguridad de la información para cada una de sus áreas y de sus niveles, pero también diseñar planes para alcanzar esos objetivos.

Diplomado Online: Sistemas de Gestión de Seguridad de la Información con la ISO 27001:2013

Es importante entonces entender cuáles son los objetivos de SI, cómo se establecen y contar con una guía eficaz para implementarlos dentro de un Sistema basado en el estándar ISO 27001.

¿Qué son objetivos de seguridad de la información?

Los objetivos de seguridad de la información son las necesidades que la organización pretende satisfacer, para asegurar la integridad, confidencialidad, disponibilidad y accesibilidad segura de la información y de los datos propios y de terceros.

Los objetivos de seguridad de la información son también el criterio con el que se fijan los indicadores de rendimiento del Sistema o los que miden la efectividad de los controles y de los procesos de Seguridad de la Información.

¿Cómo se establecen los objetivos de seguridad de la información?

Los objetivos se pueden fijar en la política de Seguridad de la Información, aunque algunas organizaciones pueden dejar un espacio abierto para la definición de objetivos al establecer apenas un marco y unas directrices para ello.

En estos casos, este marco, así como los requisitos del estándar, de regulaciones y normas vigentes, y las necesidades y expectativas de las partes interesadas, se convierten en los elementos principales para la definición de los objetivos de seguridad de la información.

Las evaluaciones de riesgos son un elemento más, de gran importancia, sobre todo cuando se revisan los objetivos.

¿Cómo deben ser los objetivos de seguridad de la información?

Para satisfacer los requisitos de ISO 27001, los objetivos deben fijarse cumpliendo las siguientes condiciones:

  • Alcanzar la conformidad con la política, o con el marco contenido en ella, con los requisitos de ISO 27001 y con las obligaciones de cumplimiento de la organización.
  • Deben ser alcanzables, medibles y verificables.
  • Corresponder a las exigencias de los resultados de la gestión de riesgos.
  • Ser comunicados en todos los niveles de la organización y a las partes interesadas externas.
  • Actualizados y revisados cuando corresponda.
  • Todo lo relativo a su gestión debe ser documentado.

Con base en estas características mínimas, la organización decide qué va a hacer, cuáles son los recursos que demandará el logro del objetivo, quién será responsable, en qué término de tiempo se alcanzará el objetivo y cómo se evaluará el logro.

Aprende a definir e implementar los objetivos de #SeguridadInformación en un Sistema de Gestión basado en la norma #ISO27001 Clic para tuitear

Ejemplos de objetivos de seguridad de la información

Algunos objetivos se definen en una cifra de referencia. Otros, se limitan a expresar la necesidad de cumplir con algo o satisfacer la necesidad de alguien. Veamos algunos ejemplos:

  • Disminuir el número de infracciones de Seguridad de la Información, hasta en un 50%, en un periodo determinado.
  • Alcanzar la conformidad total con los requisitos de ISO 27001.
  • Satisfacer las expectativas del área de gestión de riesgos.
  • No sobrepasar un límite en particular.
  • Alcanzar un determinado nivel de seguridad.
  • Obtener una certificación o acreditación de Seguridad de la Información.

Consejos para definir los objetivos de seguridad de la información

Además de las instrucciones puntuales indicadas anteriormente, es previsible que sea necesario seguir los siguientes consejos:

  • Incluir objetivos nuevos y específicos, además de los fijados en la política, cuando esto se ha hecho así. Los objetivos que se derivan del conocimiento de áreas como TI o Gestión de Riesgos de Seguridad de la Información tienen un valor que debe ser respetado, siempre que se adapten al marco propuesto por la política.
  • Considerar objetivos no medibles o medibles en términos cualitativos y, por tanto, subjetivos. Lo ideal es que el objetivo sea medible en términos concretos, pero si no existe la posibilidad, y se justifica fijar el objetivo, entonces la decisión debe ser hacerlo, aunque este debe ser un caso excepcional y no la norma.
  • Alinear todos los objetivos con las estrategias de negocios de la organización y con las necesidades especificas de seguridad.
  • Comunicar los objetivos a todas las partes, incluso a las externas, que es algo que muchas organizaciones pasan por alto.
  • Revisar los objetivos de forma periódica, especialmente cuando los resultados de Gestión de Riesgos sugieran que los actuales no se ajustan a las condiciones de seguridad mínima esperada.

Objetivos de seguridad y transformación digital

Finalmente, la seguridad de la información es un activo estratégico esencial para cualquier organización en el siglo XXI. Sin embargo, es importante destacar la trascendencia que hoy tienen los procesos de transformación digital en el logro de los objetivos de seguridad de la información.

Las organizaciones que digitalizan sus sistemas de gestión, alcanzan mayores niveles de productividad y disminuyen la incidencia de problemas como infracciones, fugas de información, corrupción o pérdida.

La formación en seguridad de la información, en este escenario, es también un elemento importante para el éxito de la gestión.

Diplomado ISO 27001 – Seguridad de la Información

El Diplomado en Seguridad de la Información ISO/IEC 27001 aborda todos y cada uno de los capítulos y requisitos del estándar, con la necesaria profundidad, y con el soporte que ofrece el conocimiento de expertos con reconocimiento internacional.

Los alumnos y alumnas de este Diplomado están capacitados para planificar, implementar, revisar, auditar y llevar a la certificación un Sistema de Gestión de Seguridad de la Información basado en ISO 27001.

Este programa ofrece titulación como experto en seguridad de la información y como auditor interno de SG-SI. Pero también facilita el camino para obtener la certificación ERCA –Registro Europeo de Auditores Certificados.

Tú puedes dar el paso que te acerca a una creciente oferta laboral en toda Europa y América Latina. Empieza ahora.

New Call-to-action